本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 AWS Backup 控制台创建报告计划 有两种类型的报告。一种是**作业报告**,它显示过去 24 小时内完成的作业以及所有活动作业。另一种报告是**合规性报告**。合规性报告可以监控资源级别或有效的不同控件。创建报告时,您可以选择要创建的报告类型。 根据您的账户类型,控制台显示可能会有所不同。只有管理账户才能看到多账户功能。 与*备份计划*类似,您可以创建*报告计划*来自动创建报告并定义其目的地 Amazon S3 存储桶。报告计划要求您拥有 S3 存储桶才能接收报告。您不能使用其他账户中的存储桶。有关设置新 S3 存储桶的说明,请参阅《Amazon Simple Storage Service 用户指南》**中的[步骤 1:创建您的第一个 S3 存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/GetStartedWithS3.html#creating-bucket)。 **在 AWS Backup 控制台中创建您的报告计划** 1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。 1. 在左侧导航窗格中,选择**报告**。 1. 选择**创建报告计划**。 1. 从列表中选择一个报告模板。 1. 输入唯一**报告计划名称**。该名称的长度必须介于 1 到 256 个字符之间,以字母开头,由字母(a-z、A-Z)、数字 (0-9) 和下划线 (\$1) 组成。 1. (可选)输入**报告计划描述**。 1. *仅适用于一个账户的合规性报告模板*。选择要报告的一个或多个框架。您最多可以向报告计划添加 1,000 个框架。 1. 选择您所在 AWS 的地区。 1. 从该区域中选择一个框架。 1. 选择**添加框架**。 1. (可选)要向报告计划添加标签,请选择**向报告计划添加标签**。 1. 如果您使用的是管理账户,则可以指定要在此报告计划中包含哪些账户。您可以选择**仅我的账户**,这将仅针对您当前登录的账户生成报告。或者,您可以选择**我的组织中的一个或多个账户**(*适用于管理账户和委托管理员账户*)。 1. (*如果您只为一个区域创建合规性报告,请跳过此步骤*)。您可以选择要包含在报告中的区域。单击下拉菜单,显示可供您使用的区域。选择*所有可用区域*或您喜欢的区域。 1. **将新区域合并到 Backup Audit Manager 时将其包括在内**复选框将在新区域可用时触发将其包含在您的报告中。 1. 选择报告的**文件格式**。所有报告均可以 CSV 格式导出。此外,可以 JSON 格式导出单个区域的报告。 1. 对于 **S3 存储桶名称**,从账户中选择一个存储桶。 1. (可选)输入存储桶前缀。 AWS Backup 将您的往来*账户、当前地区*报告发送至`s3://amzn-s3-demo-bucket/prefix/Backup/accountID/Region/year/month/day/report-name`。 AWS Backup 将您的*跨账户报告发送*给 `s3://amzn-s3-demo-bucket/prefix/Backup/crossaccount/Region/year/month/day/report-name` AWS Backup 将您的*跨区域报告发送*给 `s3://amzn-s3-demo-bucket/prefix/Backup/accountID/crossregion/year/month/day/report-name` 1. 选择**创建报告计划**。 接下来,您必须允许您的 S3 存储桶接收来自的报告 AWS Backup。创建报告计划后,Audit AWS Backup Manager 会自动生成一个 S3 存储桶访问策略供您应用。 如果您使用客户托管的 KMS 密钥加密存储桶,则 KMS 密钥策略必须满足以下要求: + `Principal` 属性必须包含 Backup Audit Manager 服务相关角色 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRolePolicyForBackupReports](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRolePolicyForBackupReports) ARN。 + `Action` 属性必须至少包含 `kms:GenerateDataKey` 和 `kms:Decrypt`。 该策略[AWSServiceRolePolicyForBackupReports](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRolePolicyForBackupReports)具有这些权限。 **查看此访问策略并将其应用于 S3 存储桶** 1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。 1. 在左侧导航窗格中,选择**报告**。 1. 在**报告计划名称**下,选择报告计划的名称,来选择报告计划。 1. 选择**编辑**。 1. 选择**查看 S3 存储桶的访问策略**。您还可以在此过程结束时使用策略。 1. 选择**复制权限**。 1. 选择**编辑存储桶策略**。请注意,首次创建备份报告之前,S3 存储桶策略中提及的服务相关角色尚不存在,从而导致“无效的主体”错误。 1. 将权限复制到**策略**。 **示例存储桶策略** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports" }, "Action":"s3:PutObject", "Resource":[ "arn:aws:s3:::BucketName/*" ], "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control" } } } ] } ``` ------ 如果您使用自定义 AWS Key Management Service 来加密存储报告的目标 S3 存储桶,请在策略中包括以下操作: ``` "Action":[ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource":[ "*" ], ```